Nom : FragmentStack. Matricule : CVE-2018-5391. Risque posé : déni de service.
Cette faille est au menu du Patch Tuesday de septembre 2018. Dans l’alerte qui lui est dédiée, Microsoft suggère une mesure de contournement : désactiver la reconstitution des paquets IP*.
FragmentStack affecte précisément cette opération qui intervient en dernier lieu dans le processus de segmentation IP.
Ledit processus consiste à découper des paquets pour les adapter aux capacités de réception (MTU, « maximum transmission unit ») de la station destinataire. Il est mis en œuvre notamment pour assurer le transfert de données entre des réseaux physiques différents.
La méthode présente plusieurs inconvénients, dont le fait que l’assemblage des paquets est entièrement dévolu au destinataire.
FragmentStack exploite ce goulet d’étranglement de manière à consommer toutes les ressources processeur, la machine ciblée finissant par planter. Il représente, en ce sens, une énième variante de l’attaque dite « Teardrop » et connue depuis des décennies.
Toutes les versions de Windows – client et serveur – encore prises en charge abritent la faille ; pas les VM Azure. Désactiver la reconstitution des paquets élimine la vulnérabilité, mais augmente le risque de perdre des données.
FragmentSmack avait été rendu public au mois d’août, des suites d’une découverte d’un chercheur des Nokia Labs. L’intéressé avait constaté que la vulnérabilité, connue de longue date sous d’autres formes, était devenue exploitable sur Linux depuis la version 3.9 du noyau. Ce à cause de l’accroissement de la file de traitement des paquets IP.
Une autre faille avait été publiée en parallèle. Nommée SegmentSmack, elle ne se fonde sur l’injection de paquets TCP. Ses déclinaisons CVE-2018-5390 et CVE-2018-6922 touchent respectivement Linux (version 4.9 et ultérieures) et FreeBSD (à partir de la 10.4).
Des correctifs sont à disposition pour les principales distributions Linux, y compris Android. D’Akamai à Zyxel, de nombreux fournisseurs d’équipements et/ou de services de réseau, de stockage ou encore de sécurité ont eu à les déployer.
L’équipe Debian recommande, en cas d’impossibilité d’appliquer un patch, de paramétrer /proc/sys/net/ipv4 pour fixer à 192 et 256 ko les seuils minimal et maximal de la fragmentation IP.
* Avec les commandes Netsh int ipv4 set global reassemblylimit=0 et Netsh int ipv6 set global reassemblylimit=0
Crédit photo : ministère allemand de la Défense
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
